WordPress-Team verheimlicht Details über Sicherheitslücken

WordPress 1.5.2 ist jetzt verfügbar. Das Update enthält einige sicherheitsrelevante Bugfixes. Jürgen Kreileder beschwert sich, dass man keine Details über die Art der Sicherheitslücken erfährt:

I hate that kind of silly security by obscurity. Vague vulnerability descriptions are almost useless for administrators, just saying “we’ve fixed some security problems? is even worse!

Ich kann den Ärger zwar verstehen, aber zumindest aus der Sicht eines Administrators ist es im Normalfall nicht wünschenswert, wenn Details über die Sicherheitslücken veröffentlicht werden. Die meisten hätten gar nicht die Zeit, sich das genauer anzusehen. Hacker sind dagegen gerne bereit, die Zeit zu investieren.

Bei den Kritikern von „security by obscurity“ handelt es sich häufig um Sicherheitsexperten, die meist nur recht wenig über den Alltag eines Administrators wissen.

no wow: Another WordPress Security Update

8 Kommentare

  1. Kommentar von Reimer am 15.08.05 13:18:

    Jürgen Kreileder wäre bei regelmäßiger Lektüre der bekannten Sicherheitssites durchaus in der Lage die bekannten Sicherheitslücken zu entdecken, aber eine weitere Verbreitung dieser Informationen ist auch meiner Meinung nach nicht wünschenswert.

  2. Kommentar von Michael Pietroforte am 15.08.05 15:48:

    Ja, natürlich kann man das herausfinden. Doch je einfacher man es den Bösewichten macht, um so mehr werden sich der Sache annehmen.

  3. Kommentar von Juergen Kreileder am 15.08.05 16:22:

    Ich sehe die Sicherheitslücken durchaus. Das ändert nichts daran, daß die announcements der WordPress developer zu vage sind. Benutzer sollten aus security announcements zumindest erkennen können, ob sie davon betroffen sind und wie schwerwiegend das Problem ist.

    Da der source code für WordPress öffentlich zugänglich ist, bringt die Geheimnistuerei eh wenig. Jeder halbwegs intelligente Hacker kann diffs lesen; wenn einer svn oder die changesets auf trac.wordpress.org verfolgt, hat er Probleme auch schon gekannt, bevor das Update veröffentlicht worden ist.

  4. Kommentar von Michael Pietroforte am 15.08.05 16:43:

    Es geht wie gesagt nicht darum, zu verhindern, dass Hacker die Sicherheitslücke aufspüren, sondern darum, die Hürde etwas höher zu legen. Das ist bei Sicherheitsfragen immer der Punkt. Wenn man auf einem viel gelesenen Blog schreibt, dass eine so häufig eingesetzte und im Netz leicht aufzuspürende Software wie WordPress eine schwerwiegende Sicherheitslücke hat, lenkt man die Aufmerksamkeit vieler erst darauf. So mancher würde einfach aus Jux und Tollerei auf die Idee kommen, ein Exploit zu schreiben. Und ein Administrator sollte grundsätzlich immer sicherheitsrelevante Patches einspielen. Sollte es Probleme geben, kann man das bei WP ja leicht wieder rückgängig machen.

  5. Kommentar von Sören Weber am 15.08.05 17:45:

    Mal ganz abgesehen vom Aspekt, Sicherheitslücken offenzulegen: Releasenotes für dieses Update sind quasi nicht existent. Das Wiki kann z.Z. nicht editiert werden, die Upgrade-Anleitung findet sich in einem Blog-Post. Hey, so veröffentliche ich kein neues Release. Das ist Bananen-Software. Oder kann mir jemand auf Anhieb sagen, welche neuen Hooks es gibt? Ja, auch ich kann diffs lesen, aber es kann nicht angehen, dass ich je nach Release mir erstmal diffs und Änderungshistorie von 10-50 Dateien reinziehen muss.

  6. Trackback von christoph-hoerl.de am 15.08.05 18:07:

    WordPress 1.5.2

    Gestern wurde die Version 1.5.2 von WordPress veröffentlicht. Wie im Weblog deutlich wird, wurden keine sichtbaren Updates vorgenommen. Hauptsächlich wurden Sicherheitslücken geschlossen. Eine detaillierte Liste der Änderungen gibt es im Support….

  7. Kommentar von Michael Pietroforte am 15.08.05 18:07:

    Mir scheint, als wenn da jetzt hauptsächlich an der 1.6er-Version gearbeitet wird. Ich habe das Upgrade übrigens inzwischen durchgeführt. Bisher sehe ich noch keine Probleme.

  8. Kommentar von Juergen Kreileder am 19.08.05 11:08:

    Leider scheinen die WordPress developer nicht nur Probleme mit der Informationspolitik zu haben, sondern auch mit dem Releasemanagement: Von 1.5.2 gibt es zwei Versionen. Die erste Version, die das aktuelle Sicherheitsproblem nicht behoben hat, war einige Stunden lang auf wordpress.org zu erhalten und wurde dann still und leise durch eine zweite gefixte 1.5.2 Version ersetzt. Natürlich wird auch dieser Fehler verschwiegen.

    Siehe WordPress – irresponsible silent tarball update